Задать вопрос
Ответы пользователя по тегу Системное администрирование
  • Hkey_current_user в параметрах безопасности реестра GPO?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    А вы точно смотрите в разделе "Конфигурация пользователя"?
    63f3a3fd3832c376285165.jpeg
    Ответ написан
  • Администрирование windows server 2016, как разрешить ввод данных администратора?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Ненене, всё не так.
    1) Думаешь головой и планируешь безопасность.
    2) Создаешь подразделения в AD исходя из того, что надумал, например: серверы, рабочие места пользователей, серверы терминалов.
    3) Например для подразделения "рабочие места" в групповых политиках наделяешь админскими правами группу "Локальные админы". Или вообще только одну учетку "Инсталл01".
    4) Для этой же учетки в группе "рабочие места" запрещаешь доступ по сети (а то или наодминят, или червь зашифрует все компы).
    5) Добавляешь в группу "Локальные админы" нужных пользователей. Или всех.

    Итог - кому положено - админы на своих компах. Но не на терминалах. И не в домене.

    Не путай - местоположение компьютера и местоположение пользователя - это разные вещи.
    Админские (права) и железячные настройки назначаются компу. Пользовательские - к пользователям.
    Ответ написан
  • Кто задает ip адрес второстепенному роутеру в сети?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    В вашей схеме целом каждый следующий роутер не знает о существовании остальных. Т.е он получает для себя адрес СВЫШЕ, а клиентам раздает сам.
    НО. Если вы настраиваете схему Mesh, то там "главный" - "рулит" остальными независимо, как они подключены, хоть по wifi. И соответственно он отвечает за выдачу IP из единого пространства, и переключение беспроводных клиентов между роутерами (wifi-роуминг).
    Не все роутеры так умеют.
    Ответ написан
    Комментировать
  • Доступ к компьютеру через RDP вне локальной сети?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Немного сумбурно объясняете, но у меня есть подозрение, что пробрасывая порт на роутере, вы пробросили не с того интерфейса. На пример на кинетиках - указывайте внешний IP, как входящий адрес.
    Т.е. ваш путь верный, только есть нюанс в настройках проброса.
    Это первое.
    А второе - сразу имейте в виду, что ваш удаленный сотрудник непременно сохранит пароль подключения. А потом его сворует запущенный им же троян. И к вам придет криптовымогатель.
    Поэтому или VPN, или(и) двухфакторная авторизация (логин/пароль + одноразовый ПИН). Двухфакторка делается бесплатно и несложно. Например раскурите MultiOTP.
    Ответ написан
    Комментировать
  • Где взять старую сборку Windows 10?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Попробуйте LTSB 1607 и LTSC 1809, это не совсем сборки - это легальные корп. версии с длительной поддержкой.
    Они обновляются, но идут практически только обновления безопасности, при этом остаются на старой версии с тем же функционалом. Как правило по совместимости старого железа с ними - намного лучше дела обстоят.
    Но имейте в виду - под видюхи нужно будет искать и старые версии драйверов тоже.
    Еще LTSB и LTSC не будут орать, что уже прошел год, и они отказываются работать без перехода на новую версию.
    Ответ написан
    1 комментарий
  • Как управлять большим количством компьютеров?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    1) Однозначно завести уже домен AD, продумать структуру организации, политики (думать сперва - обязательно), реализовать их. Одно это снимает 99% рутины.
    (Не делать глупых ошибок, как то администратор на компе - это значит администратор домена. Вообще думайте, чтоб один идиот с правами админа не мог заразить и угробить всю сеть. Но это отдельный вопрос, как лучше планировать структуру, не будем его здесь развивать.)
    2) Подразделения объединить через туннели на роутерах, например IPSec, Wireguard и что еще вам подойдет.
    3) Создать в AD "сайты" и настроить распределенные филиалы.
    4) Поставить по серваку в каждом филиале, для отказоустойчивости.
    5) Сделать распределенную файловую систему (DFS) для отказоустойчивости же.
    6) Настроить принтеры через серверы печати и автоматическое назначение пользователям.
    7) Настроить перемещаемые профили пользователей, чтоб они не орали как потерпевшие, когда жесткий диск их компа полетел вместе с ценнейшими данными с рабочего стола.
    8) Завести всех пользователей и компы в домен.
    9) Настроить несколько уровней резервного копирования.

    Это всё не очень сложно делать, тут вам не Linux.
    Кроме пункта 8. Совет - начинайте с молодежи и типовых сотрудников. Будут "сложные случаи" - с пенсионерами, которые привыкли жить без пароля на комп и делать всё только одним способом, и у которых куча сохраненных паролей от сайтов, которые нигде не записаны; Сотрудники со страшными плагинами банков и криптографией; Специализированное купленное отечественное ПО, которое заработало только тогда, когда настраивали в полнолуние на ретроградный меркурий...
    Но когда всё настроите - поймете, что стало намного надежнее. И поймете, что проблемы были не так страшны, как казалось.
    Ответ написан
    5 комментариев
  • Виртуализация контроллера домена, как правильно?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    С виртуализацией контроллеров доменов есть только одна рекомендация - хотя бы один из них держать в "железе". Но это на самом деле очень необязательно.
    Еще надо не забывать про время в домене и время на гипервизоре. Чтоб не получалось, что гипервизор закидывает контроллеру домена свое неправильное время через службы интеграции.
    А в вашем случае скорее всего слетела сетевуха, зайдите и настройте новую, так же, как была старая.
    Ответ написан
    Комментировать
  • Сколько учетных записей должно быть у администратора?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Очень хорошо, когда у разных уровней привилегий админов есть разные учетки и их права не пересекаются (на высшем уровне администрирования). Если одна компрометируется - остальные остаются. Если админ всюду будет ходить с одной учеткой - то однажды он ее где-то сольет.
    Пользователям - да, выделяйте локальных админов. И я б еще порекомендовал локальным админам закрыть сетевой вход на рабочие станции. Иначе однажды словите червя, который заразит от одного админа всю сеть.

    1С, антивирус и т.п. - это однозначно пользователь и его учетка, а вот внутренние межсерверные дела, например между серверами 1С и SQL - там отдельная своя, может даже и с доменом не связанная. И вообще следует танцевать в таких продуктах от их специфических рекомендаций по безопасности. Зачастую и админская учетка для взаимодействия разных служб не требуется, когда грамотно настроено.

    Вообще поставьте себя на место злоумышленника, который купил в сети базу скомпрометированных фишингом и троянами учеток вашей организации, ПО для криптовымогания и эксплойты против антивирусов. Вот представьте, что он теперь может войти по удаленке, а как войдет - воспользуется еще одним инструментом - головным мозгом. Осмотрится и сделает всё правильно, чтоб у вас потом подгорало и иного выхода, как платить выкуп - не было.
    Думайте, отталкиваясь от подобной парадигмы. Сильные стороны и недостатки ваших решений в свете такого подхода - сразу намного понятней. Сразу видны настоящие цели и задачи...

    Ну и в конце концов - AD ведь предоставляет любую нужную степень абстрагирования прав. Где-то надо поименно пользователей прописывать в доступе, а где -то применять несколько вложенных групп.
    Ответ написан
    Комментировать
  • Как правильно внедрить контроллер домена в существующую одноранговую сеть?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Основная проблема - это тертые калачи и кремень-люди. Они привыкли только так, только на рабочем столе и только лазить по всем компам. Но таких процентов 10 обычно, не более.
    Начните с миграции основной, однотипной и молодой массы пользователей. Остальных будете переводить уже позже, не спеша, с трудом - но без революций, с каждым отдельно разбираясь с нагромождениями древних особенностей (типа 10 тендерных площадок, с которыми работают, но потеряны пароли, с древними плагинами к программам 2001 года, с почтой в The Bat и т.п. трудностями). Успокаивайте их, объясняйте, что врага среди вас тут нет. Часто это удобно совместить с заменой ПК на новый и быстрый.
    Когда основной костяк коллектива вольётся в новую инфраструктуру и поймет, что так действительно стало лучше, привыкнет вводить пароли сетевые - моральная поддержка ветеранов рухнет. На их проблемы - вы будете вздыхать - и говорить - вот видите - все уже перешли и там всё ок, а вы цепляетесь за старое...
    Вода камень точит. :)
    Ответ написан
    1 комментарий
  • Что должен уметь системный администратор?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Самые главные навыки сисадмина:
    - Уметь общаться с людьми (а то часто отрастает поролоновая корона и царапает потолок). Не забывайте, что это ВЫ для них, а не наоборот, ну а ОНИ в свою очередь - для исполнения задач организации.
    - Не быть ленивым (тут в умеренной степени - зад со стула должен подниматься без помощи домкрата, но должна преобладать здравая тяга работе по облегчению своих задач с помощью оптимизации труда, автоматизации, написания скриптов и т.п.).
    - Пользование головным мозгом и обучение (есть люди по которым видно, шевелить извилинами им нестерпимо и НЕПРИЕМЛИМО, они всячески избегают этого, хотя и могут).
    - Построение таблицы приоритетов (например: безопасность данных от уничтожения, надежность функционирования рабочих процессов, скорость восстановления работы при инцидентах и т.д.)

    Дальше не бойтесь - при наличии порядка в голове - разберетесь и научитесь.
    Ответ написан
  • Как чистить файловый сервер?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Еще (отдельная тема) есть дедубликация данных. На офисном хламе дает от 50 до 80% экономии занятого места.
    Ответ написан
    Комментировать
  • Почему не устанавливается Windows 10 с флешки?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    1) Отключить быструю загрузку
    2) Флешку сделать в FAT32 с образом, загружающимся в Legacy (BIOS) режиме, а не UEFI. UEFI на компе 2009 года не может быть. Используйте Rufus для ее подготовки.
    3) Попробовать запуск с выбором загрузочного устройства через горячую клавишу (у кого как, возможно F8 или F12).
    4) Убедиться, что платформа подходящая (образ х64 и платформа поддерживает х64).
    Ответ написан
    Комментировать
  • Как подключиться к устройству в локальной сети из интернета через купленный у провайдера сервер?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Решайте задачу в обратную сторону. Подключайтесь в белому IP вашего VPS, и задним ходом получите доступ в локалку.
    Только сперва убедитесь - не режет ли провайдер такие подключения. VPN - обычно это отдельная услуга и вам ее не дадут.
    Ответ написан
    Комментировать
  • Как разграничить доступ на общие принтеры в домене с помощью групповых политик?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Нужна абстракция на уровне групп доступа. Например в структурном подразделении сотрудники входят в одну группу, а несколько групп таких подразделений входят в другую группу - которая имеет право печати на конкретном принтере.
    Разворачивая доступ к принтерам - вам нужно заранее для него создавать только одну группу доступа и только ее добавить в права на печать. Дальше только жонглируете работниками и группами, к самому принтеру и правам больше не лезете.
    Боюсь, что первый раз надо будет настроить все 100 принтеров вручную.
    Но вообще такого рода проблемы - обычно преодолеваются переходом на МФУ более дорого класса. Ставится 2-3 штуки на этаже и все ходят к ним. Сначала правда стонут "ох как тяжело поднимать зад со стула, домкраты-то не выдали", но потом привыкают. Такой подход обычно выгоднее, т.к. дорогие большие МФУ дают экономию в цене отпечатка.
    Ответ написан
    Комментировать
  • Active Directory, подготовка к внедрению, как рассчитать мощность сервера?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Неправильно составленные вопросы.
    Начните с анализа задач, а не с выбора оборудования.
    1) Гугл. И виртуализация. Пробуйте, думайте учитесь пока на это есть время. Вообще даже на этом ресурсе поискать - развернутый ответ на вопрос встречается часто. Лень искать - значит AD не для вас.
    2) Мощность серверов следует рассчитывать не для AD, а для задач. Сам по себе AD по требованиям ниже плинтуса. А вот круга задач - судя по всему вы пока не понимаете. Ошибка в оценке потом может очень дорого стоить.
    3) От одного до 120 серверов. И еще 120 роутеров с IPSec. Какой вопрос, такой ответ.
    4) Решаемо. Здесь проблема не в том, как логиниться, а как обеспечить безопасность. Тут пишут про VPN - но только один из путей и не самый идеальный.
    5) Этот вопрос и надо обдумать, возможно с руководителем. И никто для вашей специфики идеального решения волшебным образом не назовет.

    Еще пара советов - если будете приглашать специалиста на развертывание - будьте потом готовы понимать сделанное им, развивать и поддерживать самостоятельного. Иначе все загнется.
    Если остаются темные пятна в понимании - не начинайте работать на живую. Продолжайте эксперименты в виртуализации.
    Ответ написан
    Комментировать
  • Высшее/средне-специальное образования для системного администратора?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    В 94-м году я ходил месяц в вузе на открытые лекции по основам Интернета - одного идейного преподавателя. И узнал достаточно про Интернет, о котором тогда еще почти никто не слышал и тем более - не видел, не говоря уж о понимании работы. Это все, что я оттуда вынес ценного по свой специфике... Когда впервые сел за комп подключенный к сети - не терял ценного времени на изучение, ибо уже знал всё, что нужно.

    Давайте представим себе: вы просто Прометей и горите ИДЕЕЙ. Вы найдете идеальный ВУЗ, и там будут Преподаватели от Бога, которые параллельно работают в нужной отрасли на острие прогресса, и дадут вам весь ультрасовременный багаж знаний по всем нюансам профессии. Потом вы легко найдете работу своей мечты в какой-нибудь очень крупной и модной организации, будете там строить грамотную защиту данных. Но поработав - поймете:
    На такой работе и с такими требованиями к кандидатам - в вас скорее всего не станут вкладываться на дальнейшее развитие. Развитие мешает текущей работе. А в IT - лет 5 - и ваши знания можно умножать на ноль.
    В большой и серьезной организации - накал пятой точки опоры, поиски правды, требования новых подходов, новых структур, нового оборудования и ПО - это все встретит вал сопротивления на всех уровнях. КПД работы будет в лучшем случае 10%. Будет куча поручений не по профилю - которые вы будете делать только потому, что дураки вокруг с ними не могу справиться. Будут идиотские приказы от молодого, амбициозного и эффективного руководителя, с курсами МBА, который нихрена не понимает в работе, но всех умнее. И будете беспрекословно работать по ЕГО заданиям, будете видеть заранее тупик и проблемы в его распоряжениях, и постоянно все расхлебывать и переделывать, и всегда будете виноваты в его ошибках. Вечный дедлайн. А то и вовсе попрут, как слишком умного и неусидчивого.
    Рассматривать ВУЗ можно только как трамплин, но с трамплина можно удачно запрыгнуть в болото. Такой путь хорош для тех, кто неспособен к самообучению. Выучился, устроился, нахватал "баллов", добился повышения ЗП и выдохся. Всё, потом сиди ровно на теплом месте до самой пенсии. Для кого-то вполне себе вариант, отметать нельзя.
    С другой стороны, человек заинтересованный, способный к анализу, к саморазвитию, и у которого от работы остается свободное время и главное силы и желание, чтоб мыслить - ему трамплин не нужен. Да, старт будет чуть хуже, но и через 5 лет его профильные знания будут на нужном уровне. Сфера IT всегда очень быстро меняется, ей нужно жить, за ней нужно следовать. Постоянно учиться.
    Ответ написан
    Комментировать
  • Можно ли обновить загрузчик windows в сомой операционной системе без загрузочного диска или флешки?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    1) Создайте загрузочную флешку, например с AdminPE и забекапте весь системный диск. Например в Image For Windows. Целиком.
    2) Ставьте на него винду, с удалением разделов, вчистую. До момента рабочего стола. Больше не нужно.
    3) Снова верните свою старую винду из бэкапа, но только диск С: - перепишите своим старым - свежий. Только один раздел.
    Ответ написан
    2 комментария
  • Прерывается копирование через rdp, можно ли исправить?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Копирование в проводнике использует буфер обмена. Как только он кончается на одной из машин - оно "прерывается". Используйте любой другой способ копирования, который не писали сумрачные гении. Например Far Manager (на удаленную машину из терминальной сессии заходите через сетевое окружение командой cd \\tsclient).
    Ответ написан
    Комментировать
  • Существует ли документ, рекомендующий замену оборудования после 3/5 лет использования?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Не в ту сторону копаете. И не от той стены.
    Руководство, оно прежде всего считает прибыль. То, что техника старая - само по себе не важно. На заводах, вон, могут использовать оборудование, которое еще помнит времена Менделеева, и ничего - задачи свои выполняет? Выполняет!
    Собирайте настоящие объективные доказательства, как например:
    1) Отсутствие запчастей после прекращения поддержки производителей.
    2) Возрастание риска отказов и простоев.
    3) Экономия электроэнергии и серверного пространства, для тех же мощностей.
    4) Возможность роста и расширения, доп. клиенты.
    Ну и т.п. ближе к Вашим реалиям.
    Доказывать разумеется надо с цифрами "в руках".
    Ответ написан
    1 комментарий
  • Убрать запрос на ввод пароля, windows 10?

    pindschik
    @pindschik
    ФЫВА ОЛДЖ
    Взаимоисключающие параграфы - вы хотите, чтоб гостевая учетка обладала админскими правами, но при этом была максимально ограниченной, т.е. без админских прав?
    Хорошо, пусть, вы хотите странного и решать задачу непроторенным путем, ок. :)
    Итак:
    Открываете групповые политики gpedit.msc (или в домене, но я сомневаюсь, что он там есть) и делаете на всех компах из гостевой учетки админскую - наделяете ее всеми нужными правами и убираете все мешающие запреты. Формально мы выполняем задачу - гостевая учетка сможет делать всё, что надо.
    Самая главная проблема этого "решения" - это сетевые черви и криптовымогатели. Получив полные права (а вашем случае они будут), зловред обойдет сеть и получит доступ ко всем машинам (всё же аналогично везде, я так понимаю?). Со всеми вытекающими плачевными последствиями. Поэтому опять идем в gpedit и запрещаем нашим учеткам к компу из сети.
    Ну и заготовьте готовый образ системы - переустановку придется делать часто.
    Ответ написан
    Комментировать